Ce qu’une API d’images IA ne devrait jamais stocker

Développeurs

Une API d’images IA axée sur la confidentialité devrait éviter, par défaut, le stockage durable des prompts, des images sources, des sorties générées, des masques, des images de référence et des clés de génération.

Date
3 juillet 2026
Author
Unexposed

Prompt scellé, image source, sortie et objets de clé qui passent devant une base de données vide

La version la plus courte : ne stockez pas les éléments qui feraient que l’utilisateur se sentirait trahi s’il les voyait dans votre panneau d’administration.

Pour une API d’images IA, cela signifie généralement les prompts, les images sources, les masques, les images de référence, les sorties générées et les clés de génération. Ce sont des objets porteurs de contenu. Ils peuvent révéler des intentions privées, une identité, des sources, le travail des clients et des actifs créatifs finaux.

L’API peut toutefois avoir besoin d’enregistrements durables. Elle peut stocker des identifiants de compte, des identifiants de modèle, des charges de crédits, le statut des tâches, des horodatages, des catégories d’erreurs, des métriques de capacité et des événements opérationnels sans contenu. Ces enregistrements permettent à l’entreprise de fonctionner sans devoir reconstituer ce que le client a créé.

La différence compte. « Une génération a eu lieu à cette heure avec ce modèle et a coûté ces crédits » n’est pas la même chose que « voici le prompt et la sortie ». Un enregistrement de facturation n’est pas automatiquement un enregistrement de contenu. Gardez cette frontière bien nette.

Les images sources méritent une discipline particulière. Elles sont souvent plus sensibles que les prompts, car elles peuvent contenir des visages, des domiciles, des produits clients, des documents ou un contexte personnel. Si l’API les stocke par commodité, elle devrait le dire. Si l’API affirme respecter la confidentialité, les images sources ne doivent pas fuiter dans les journaux, les tableaux de bord, les galeries ou les dossiers de débogage.

Les sorties générées demandent aussi de la prudence. Le « synthétique » ne signifie pas « inoffensif ». Les sorties peuvent révéler le prompt, l’image source, la stratégie produit ou un cas d’usage personnel. Une galerie hébergée est une fonctionnalité de conservation. Cela peut être utile, mais ce n’est pas une conservation nulle.

Les clés sont le point discret. Si une API utilise le chiffrement ou des requêtes scellées, un stockage durable des clés peut annuler tout le modèle de confidentialité. Une paire de clés de génération doit être limitée à la tâche et ne vivre que le temps nécessaire pour la traiter.

La règle n’est pas « ne rien stocker du tout ». La règle est « stocker des faits opérationnels, pas le contenu client, sauf si l’utilisateur a demandé sciemment un stockage. »

Si cela vous semble restrictif, tant mieux. La confidentialité est en partie un art : ne pas transformer chaque octet utile en colocataire permanent.

Pour aller plus loin : Stockage des données Unexposed, Comment fonctionne Unexposed, et Pourquoi « Nous ne formons pas sur vos données » ne suffit pas.

Your prompt. Your model. Only your content.

Create private images with Credits, Access Tokens, and sealed requests. Encrypted in transit, run on ephemeral compute, deleted after delivery.